Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Port Forwarding port RDP

    Scheduled Pinned Locked Moved Français
    17 Posts 3 Posters 3.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      Alkashee
      last edited by

      Bonjour,

      J'ai un petit souci de port.

      Je viens d'acquérir un mini-boitier avec une distrib pfsense pour remplacer la Livebox (je suis sur la Fibre d'Orange) et je me retrouve face à un problème en apparence utra simple sur lequel je m'arrache les cheveux.

      Je voudrais faire une redirection du RDP sur ma machine en local, jusque là rien d'exceptionnel. Sauf que malgré ma règle, rien à faire. Je l'ai déjà fait sur mon serveur dedié chez OVH et c'etait passé crème sans aucun souci.

      Le pire est que j'ai fais d'autre redirection pour mon NAS et là,  aucun problème. J'ai loggé la règle pour voir ce que cela donne et j'ai bien un PASS depuis l'interface WAN avec cette règle.

      Je précise que le RDP fonctionne bien (je le faisais avant avec ma freebox V6) et que j'ai également testé avec un portable en modifiant la règle avec son IP, rien à faire. Quand je fais un test port en local, il me dit bien que le port est ouvert !

      Voila je sèche un peu donc si une âme charitable avait la petite astuce qui manque, je suis preneur :)

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        En l'état nous n'avons aucune information permettant de vous aider. Nous ne savons rien de la configuration en place. On peu juste dire que faire du rdp au travers d'internet sans autre protection est fort dangereux. Selon les versions de utilisées et la configuration de rdp c'est plus ou moins risqué.

        1 Reply Last reply Reply Quote 0
        • A
          Alkashee
          last edited by

          Bonjour,

          Je suis dans le cadre d'une utilisation personnelle.

          Pour l'infra, absolument rien d'exotique, un bête pfsense en front, un pc derrière et un NAS sur un switch…

          Comme expliqué, pour d'autres ports cela fonctionne sans souci. Ah oui, j'ai tenté de feinter la machine en attaquant sur un autre port (33389), résultat identique. J'ai testé avec un serveur FTP, aucun problème  ???

          Je penche vraiment pour un "détail qui tue".

          Les logs ne sont pas forcément très bavard (et c'est bien dommage), mais si besoin je peux en fournir.

          1 Reply Last reply Reply Quote 0
          • C
            chris4916
            last edited by

            Tu peux, en plus des logs, activer une capture de packet sur pfSense.
            Corollairement, tu peux également regarder sur la machine cible.

            Quel est l'OS de ton NAS ?
            Y a t-il un pare-feu sur cette machine (cible) qui empêcherait un accès distant ?

            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

            1 Reply Last reply Reply Quote 0
            • C
              ccnet
              last edited by

              Il n'est pas totalement impossible qu'une règle limite au réseau local les possibilités de login en RDP.

              1 Reply Last reply Reply Quote 0
              • A
                Alkashee
                last edited by

                Je suis au taff, je fais les capture d'écran qui vont bien en rentrant.

                @chris4916: Pour le NAS, c'est un syno sous DSM 4.3. Sur mon PC j'ai testé avec et sans le firewall (Kaspersky), même chose.

                @ccnet: Pour la règle je suis en mode déploiement donc les règles sont un peu en mode "portes ouvertes" pour le moment, mais je vais faire les screenshots qui vont bien ce soir.

                1 Reply Last reply Reply Quote 0
                • A
                  Alkashee
                  last edited by

                  Bonsoir,

                  Désolé pour le reply tardif, quelque soucis.

                  J'ai avancé ! En changeant le port par défaut dans Windows et en faisant un NAT avec ce port, ca fonctionne !

                  Remise du port par défaut, pouf plus rien  :@

                  Sachant que je suis chez Orange pour la fibre, est-ce que quelqu'un peut affirmer ou infirmer le fait qu'Orange bloquerait peut-être quelque chose sur ce port si on utilise autre chose que leur Livebox ?

                  1 Reply Last reply Reply Quote 0
                  • A
                    Alkashee
                    last edited by

                    Bon je continue mes tests.

                    Dès qu'il y a la mention de 3389, pfsense remplace aussitôt par MS RDP, et aussitôt ça bloque.

                    J'ai testé côté port source ou port de destination, même résultat…

                    En comparant les différences entre mes deux pfsense, celui qui pose problème est en 2.2.6 alors que l'autre est en 2.2.4.

                    Toujours aussi bizarre cette histoire...

                    1 Reply Last reply Reply Quote 0
                    • C
                      chris4916
                      last edited by

                      Si, au besoin en activant les log au niveau du FW, tu ne vois rien coté  pfSense, c'est peut-être que le blocage se situe au niveau de la machine que tu veux joindre.

                      Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                      1 Reply Last reply Reply Quote 0
                      • A
                        Alkashee
                        last edited by

                        J'ai testé en mettant mon portable de Taff à la place avec son IP, même résultat.

                        Il faudrait que je teste en mettant volontairement un port d'un des protocoles dans la liste déroulante pour voir si c'est juste quand on fait référence à ces ports que ca bloque ou non.

                        1 Reply Last reply Reply Quote 0
                        • C
                          ccnet
                          last edited by

                          J'ai testé en mettant mon portable de Taff à la place avec son IP, même résultat.

                          Même résultat que quoi, quand ? Soyez précis cela nous évite de relire tous les posts du fil pour avoir une chance de comprendre ce que vous voulez dire. Ce que je n'ai pas fait. Pas le temps. Soyons efficaces.

                          1 Reply Last reply Reply Quote 0
                          • A
                            Alkashee
                            last edited by

                            Je répondais au post précédent, il n'y a pas d'autre personnes ayant répondu entretemps…

                            Donc pour éclaircir les choses pour tout le monde, j'ai testé l'aspect machine en remplacant ma machine personnelle par mon portable professionnel et en lui renseignant la même adresse IP que ma machine personnelle. Même résultat, à savoir que ça ne fonctionne pas non plus.

                            J'en conclus donc que la machine peut être écartée de l'équation.

                            Est-ce assez clair pour vous ?

                            1 Reply Last reply Reply Quote 0
                            • C
                              ccnet
                              last edited by

                              Et que donne la vérification suggérée par chris4916 : Trafic visible ou non sur l'interface de Pfsense ?

                              1 Reply Last reply Reply Quote 0
                              • A
                                Alkashee
                                last edited by

                                La vérification du trafic donne que je vois bien du trafic passer (PASS) dans le firewall.

                                Pour le moment j'ai réussi a bypasser le problème en changeant le port d'écoute sur ma machine (en 3390) et en faisant du NAT du 3389 vers le 3390. Si je remet le 3389, ça ne répond plus. Mais toujours PASS dans les logs du FW…

                                C'est rageant de pouvoir faire du TSE en LAN sans souci de poste à poste via ce port mais pour le faire depuis l’extérieur il faut changer le port d'écoute de la machine cible  :'(

                                Bref merci pour les infos et le temps passé en tout cas.

                                1 Reply Last reply Reply Quote 0
                                • C
                                  ccnet
                                  last edited by

                                  On a avancé sur ce qui se produit. Et si on capture les trames d'une tentative de connexion depuis l’extérieur, donc en passant par la firewall, et en utilisant la configuration standard (3389), que voit on à l'analyse des trames ? Des drop, des reject de la part de la machine destinataire ou pas de réponse tout simplement ?

                                  1 Reply Last reply Reply Quote 0
                                  • A
                                    Alkashee
                                    last edited by

                                    Je veux bien faire la capture mais je ne sais pas (plus) les interpreter :(

                                    1 Reply Last reply Reply Quote 0
                                    • C
                                      ccnet
                                      last edited by

                                      Vous en mettrez une copie d'écran ici pour que l'on puisse regarder ce qui se passe.

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post
                                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.